Muhstik Malware
Botnet Muhstik, yang terkenal dengan serangan Denial-of-Service (DDoS) yang diedarkan, telah dikesan mengeksploitasi kelemahan yang ditambal baru-baru ini dalam Apache RocketMQ. Eksploitasi ini membolehkan Muhstik merampas pelayan yang terdedah, meningkatkan jangkauan dan impak rangkaiannya. Muhstik, ancaman lama, pakar dalam menyasarkan peranti IoT (Internet-of-Things) dan pelayan Linux. Ia terkenal kerana kecekapannya dalam menjangkiti peranti, menggunakannya untuk perlombongan mata wang kripto dan mengatur serangan DDoS.
Isi kandungan
Botnet Muhstik Mengeksploitasi Kerentanan Perisian untuk Menjangkiti Peranti
Sejak dokumentasi pertamanya pada 2018, kempen serangan yang didorong oleh perisian hasad secara konsisten menyasarkan kelemahan keselamatan yang diketahui, terutamanya yang terdapat dalam aplikasi Web.
Eksploit terbaharu yang muncul ialah CVE-2023-33246, kecacatan kritikal yang memberi kesan kepada Apache RocketMQ. Kerentanan ini membolehkan penyerang jauh dan tidak disahkan untuk melaksanakan kod sewenang-wenangnya dengan memanipulasi kandungan protokol RocketMQ atau mengeksploitasi ciri konfigurasi kemas kini.
Selepas mengeksploitasi kelemahan ini untuk mendapatkan akses awal, pelaku ancaman melaksanakan skrip shell yang dihoskan pada alamat IP jauh. Skrip ini bertanggungjawab untuk mengambil binari Muhstik ('pty3') daripada pelayan yang berasingan.
Mengelakkan Pengesanan untuk Menyampaikan Muatan Memudaratkan
Sebaik sahaja penyerang mengeksploitasi kelemahan RocketMQ untuk memuat naik muatan berbahaya mereka, mereka mendapat keupayaan untuk melaksanakan kod berbahaya mereka, yang membawa kepada muat turun perisian hasad Muhstik.
Untuk mengekalkan kegigihan pada hos yang terjejas, binari perisian hasad disalin ke pelbagai direktori, dan pengubahsuaian dibuat pada fail /etc/inittab, bertanggungjawab untuk menguruskan proses but pelayan Linux, memastikan proses yang tidak selamat dimulakan semula secara automatik.
Lebih-lebih lagi, binari perisian hasad dinamakan 'pty3' dalam percubaan untuk muncul sebagai pseudoterminal ('pty') dan mengelak pengesanan. Taktik pengelakan lain melibatkan penyalinan perisian hasad ke direktori seperti /dev/shm, /var/tmp, /run/lock dan /run semasa kegigihan, membolehkan pelaksanaan terus daripada memori dan menghalang kesan pada sistem.
Penyerang boleh Mengeksploitasi Peranti yang Dijangkiti dalam Pelbagai Cara
Muhstik dilengkapi dengan keupayaan untuk mengumpulkan metadata sistem, bergerak secara sisi merentasi peranti melalui Secure Shell (SSH), dan mewujudkan komunikasi dengan domain Command-and-Control (C2) menggunakan protokol Internet Relay Chat (IRC).
Matlamat utama perisian hasad ini adalah untuk mendapatkan peranti yang terjejas dalam pelbagai serangan banjir terhadap sasaran tertentu, dengan berkesan membanjiri sumber rangkaian mereka dan menyebabkan gangguan penafian perkhidmatan.
Walaupun lebih daripada setahun sejak pendedahan awam tentang kecacatan itu, masih terdapat 5,216 contoh Apache RocketMQ terdedah di internet. Adalah penting bagi organisasi untuk mengemas kini kepada versi terkini untuk mengurangkan potensi ancaman.
Tambahan pula, kempen terdahulu telah menunjukkan aktiviti perlombongan kripto yang berlaku selepas pelaksanaan perisian hasad Muhstik. Aktiviti ini saling melengkapi apabila penyerang berusaha untuk membiak dan menjangkiti lebih banyak mesin, membantu dalam usaha perlombongan mata wang kripto mereka dengan menggunakan kuasa pengiraan peranti yang terjejas.
